※このお知らせでは WESEEK のホームページで公開している情報を転載しています

• WESSEK HP 上で公開している情報はこちら

概要

弊社が提供している GROWI システムにおいて、脆弱性が判明いたしました。

以下の影響があります。

• GROWI において、クロスサイト・スクリプティングの脆弱性が存在します。
  • 悪意のあるスクリプトを挿入/実行されることにより、偽ページの表示やCookieの意図しない取得/保存をさせられる可能性があります。
• GROWI において、CSRF（クロスサイト・リクエスト・フォージェリ）の脆弱性が存在します。
  • 外部サイトを経由した悪意のあるリクエストを受け入れてしまうことによって、ログイン後の利用者のみが利用可能なサービスの悪用やログイン後の利用者のみが編集可能な情報の改ざん/新規登録をさせられる可能性があります。
• GROWI において、Secret access key の取得可能性が存在します。
  • XSS 等により管理画面に不正にログインした攻撃者が Secret access key を取得することによって情報の取得や外部リソースの不正利用の可能性があります。
• GROWI において、未想定のアカウント削除や停止の可能性が存在します。
  • XSS 等により管理画面に不正にログインした攻撃者が乗っ取ったアカウントの削除や停止をする可能性があります。

以下のバージョンが影響を受けます。

• v6.1.11 よりも前のバージョン

v6.1.11 にて修正対応が完了しております。 該当するバージョンをご利用中の方はアップデートをお願いいたします。

セキュリティ脆弱性の詳細

CVE, JVN が公開している以下のセキュリティアドバイザリ

• JVN#18715935

対策

• GROWI を v6.1.11 あるいはそれ以降のバージョンにアップデートしてください。

アップデート版の入手場所

• GitHub
• Docker Hub

謝辞

これらの脆弱性情報は、情報セキュリティ早期警告パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。

また、WESEEK, Inc. と JPCERT/CC が連携し JVN への公表を行いました。

• CVE-2023-42436
  • 報告者: NTT-ME システムオペレーションセンタ 梶原 翔 ⽒
• CVE-2023-45737
  • 報告者: 筑波⼤学 ⾼⼭ 尚樹 ⽒
• CVE-2023-45740
  • 報告者: GMOサイバーセキュリティ byイエラエ株式会社 ⻄⾕ 完太 ⽒
• CVE-2023-46699
  • 報告者: 齋藤徳秀 ⽒
• CVE-2023-47215、CVE-2023-49779
  • 報告者: 株式会社カンム 宮⼝直也 ⽒
• CVE-2023-49119
  • 報告者: 筑波⼤学 ⾼⼭ 尚樹 ⽒、NTT-ME システムオペレーションセンタ 板垣　卓 氏、株式会社Flatt Security 齋藤徳秀 ⽒
• CVE-2023-49598
  • 報告者: 株式会社カンム 宮⼝直也 ⽒、GMOサイバーセキュリティ byイエラエ株式会社 ⼩⽥切祥 ⽒、藤井 翼 (@reinforchu) ⽒、株式会社Flatt Security 森 瑛司 ⽒、株式会社ブロードバンドセキュリティ 志賀拓⾺ ⽒、三井物産セキュアディレクション株式会社 東内 裕⼆ ⽒
• CVE-2023-49807
  • 報告者: 株式会社カンム 宮⼝ 直也 ⽒、筑波⼤学 ⾼⼭ 尚樹 ⽒
• CVE-2023-50175
  • 報告者: 株式会社Flatt Security 齋藤徳秀 ⽒、株式会社カンム 宮⼝直也 ⽒、三井物産セキュアディレクション株式会社 ⽶⼭ 俊嗣 ⽒
• CVE-2023-50294、CVE-2023-50332、CVE-2023-50339
  • 報告者: 株式会社Flatt Security 齋藤徳秀 ⽒

ご報告いただきました方、ならびにご対応いただきました JPCERT/CC の関係者、皆様に感謝申し上げます。

関連ページ

• GROWI.org
• GROWI Docs
• デモサイト
• GitHub